Siber güvenlik alanında faaliyet gösteren kâr amacı gütmeyen kuruluş Security Alliance (SEAL), Kuzey Koreli siber saldırganların sahte Zoom toplantıları kullanarak mağdurları dolandırmaya yönelik günde birden fazla girişimde bulunduğunu tespit ettiklerini açıkladı.
Dolandırıcılık yöntemi, sahte bir Zoom görüşmesi sırasında mağdurları kötü amaçlı yazılım indirmeye ikna etmeyi içeriyor. Bu yazılım, şifreler ve özel anahtarlar dahil olmak üzere hassas verilerin çalınmasına olanak tanıyor. Güvenlik araştırmacısı Taylor Monahan, bu yöntemin halihazırda kullanıcılardan 300 milyon doların üzerinde varlık çaldığını söyledi.
Sahte Zoom görüşmesi dolandırıcılığı nasıl çalışıyor
Monahan’a göre dolandırıcılık, mağdurun tanıdığı bir kişiye ait Telegram hesabından gelen bir mesajla başlıyor. Tanıdıklık hissi nedeniyle mağdur kendini güvende hissediyor. Sohbet daha sonra Zoom üzerinden görüşme davetine dönüşüyor.
Monahan, “Görüşmeden önce genellikle gerçekmiş gibi görünen gizlenmiş bir bağlantı paylaşıyorlar. Orada kişiyi ve bazı ortaklarını ya da iş arkadaşlarını görebiliyorsunuz. Bu videolar yaygın olarak iddia edildiği gibi deepfake değil. Bunlar, daha önce siber saldırıya uğradıkları anlardan veya herkese açık kaynaklardan, örneğin podcast’lerden alınmış gerçek kayıtlar” dedi.
Ancak görüşme başladıktan sonra siber saldırganlar ses sorunları varmış gibi davranıyor ve bir yama dosyası gönderiyor. Bu dosya açıldığında cihazlara kötü amaçlı yazılım bulaşıyor. Ardından siber saldırganlar, görüşmeyi başka bir güne erteleme bahanesiyle sahte görüşmeyi sonlandırıyor.
Monahan, “Ne yazık ki bilgisayarınız bu noktada zaten ele geçirilmiş oluyor. Tespit edilmemek için soğukkanlı davranıyorlar. Sonunda tüm kripto varlıklarınızı alacaklar. Şifrelerinizi. Şirketinizin ya da protokolünüzün her şeyini. Telegram hesabınızı. Ardından arkadaşlarınızı da mahvetmeye devam edeceksiniz” ifadelerini kullandı.
Kötü amaçlı yazılım bağlantısına tıkladıysanız ne yapmalısınız
Monahan, şüpheli bir Zoom görüşmesi sırasında paylaşılan bir bağlantıya tıklayan herkesin derhal WiFi bağlantısını kesmesi ve etkilenen cihazı kapatması gerektiği uyarısında bulundu.
Ardından başka bir cihaz kullanarak kripto varlıkların yeni cüzdanlara aktarılması, tüm şifrelerin değiştirilmesi, mümkün olan yerlerde iki faktörlü kimlik doğrulamanın etkinleştirilmesi ve etkilenen cihaz tekrar kullanılmadan önce belleğin tamamen silinmesi gerektiğini söyledi.
Monahan ayrıca, kötü niyetli kişilerin kontrolü ele geçirmesini önlemek için Telegram hesaplarının güvenliğinin sağlanmasının “kritik” olduğunu vurguladı. Bunun için telefondan Telegram’a girilmesi, ayarlar ve cihazlar bölümüne gidilerek diğer tüm oturumların sonlandırılması, şifrenin değiştirilmesi ve çok faktörlü kimlik doğrulamanın eklenmesi ya da güncellenmesi gerektiğini belirtti.
Monahan, siber saldırganların Telegram hesaplarının kontrolünü ele geçirerek kayıtlı kişiler üzerinden yeni mağdurlar bulup dolandırdığını söyledi.
Son olarak Monahan, “Eğer Telegram’ınız siber saldırıya uğrarsa, HERKESE DERHAL SÖYLEMELİSİNİZ. Arkadaşlarınızı dolandırmak üzere olmak üzeresiniz. Lütfen gururunuzu bir kenara bırakın ve bunu DUYURUN” dedi.
